Empresas que acessam dados de clientes ou parceiros, para qualquer finalidade, são passíveis de responsabilização solidária em penalizações aplicadas pelo descumprimento da LGPD (Lei Geral de Proteção de Dados , Lei nº 13.709/2018). Em nossas consultorias, temos constatado que muitas empresas, por desconhecimento, estão ignorando implicações críticas da nova lei, ficando desnecessariamente expostas.
Mesmo em cenários em que o acesso é feito sem finalidade de exploração – como na execução de backups, e outras atividades administrativas – ficando demonstrado acesso à dados sensíveis poderá haver vinculação na operação. O mesmo pode ser dito para empresas que fornecem software como serviço (SaaS) e que, para isso, mantem sob seus domínios servidores de dados em produção.
[tweet]Para a LGPD, empresas operando dados em parceria com clientes e parceiros são descritas como operadoras ou controladoras dos dados.[/tweet] Isso pode ocorrer independentemente de haver uso efetivo destes dados ou não. A orientação primária deveria ser minimizar a “área de contato” com dados que não sejam essenciais ao negócio – caso isso não seja possível, é necessário prudência.
[tweet]Para garantir segurança jurídica das empresas – bem como de seus clientes e parceiros -, mitigando riscos de “quebra” de contratos, multas ou bloqueios, é necessário rever acordos, orientar as equipes, adequar processos e procedimentos e, claro, ajustar o software.[/tweet]
Também é importante destacar que, além da responsabilidade solidária, eventuais penalizações são potencializadas caso sejam verificados outros desalinhamentos com a legislação – mesmo que não relacionados com o incidente gerador da penalização em questão.
A confiabilidade, integridade e disponibilidade dos dados devem nortear as operações, devendo integrar a política de privacidade das empresas. Se dados são o “novo petróleo”, é importante que o tratamento destes seja encarado como tema estratégico. Não pequemos pela omissão ou pela ignorância!
